Cada vez que
hay un nuevo gusano informático o un ataque de ransomware se habla de
vulnerabilidades críticas. ¿Pero quien mide la criticidad de una
vulnerabilidad?
Las
vulnerabilidades en sistemas de información son bastante comunes. Tanto que semanalmente
el equipo de respuesta a incidentes informáticos del gobierno de Estados Unidos
(www.us-cert.gov) publica una lista con
las vulnerabilidades más importantes. Léase bien, no con todas las
vulnerabilidades. La lista completa de vulnerabilidades públicas, o mejor dicho
conocidas, está en la base nacional de datos de vulnerabilidades o NVD (National
Vulnerability Database). Esta base de datos es mantenida por NIST - National
Institute of Standards and Technologies por sus siglas en inglés.
Las
vulnerabilidades están clasificadas por orden de criticidad. Osea según el impacto en la confidencialidad, integridad o disponibilidad de un
sistema de información. En algunos casos
extremos una vulnerabilidad puede afectar gravemente los tres elementos de la
triada.
La medición
del impacto de una vulnerabilidad usa un estándar conocido como CVSS (Common Vulnerability Scoring
System) que utiliza varios indicadores para asignar el valor final. Por
ejemplo, uno de los parámetros indica la severidad del vector de ataque. Si
este vector permite una explotación remota entonces el valor será más alto que
si la vulnerabilidad es solo local. Otros parámetros incluyen la facilidad de
acceso, el tipo de autenticación y el impacto a la triada C-I-A.
La nota o
grado asignado a cada vulnerabilidad es una composición de todos estos
parámetros y el valor final va de cero a 10. Siendo 10 el valor asignado a una
vulnerabilidad de altísima criticidad. Las fórmulas y los parámetros para el
cálculo de la criticidad de una vulnerabilidad es material público y puede ser
consultado en cualquier momento. Este sitio ofrece la calculadora de
medición de vulnerabilidades.
El valor
numérico final permite tener una medición común de fácil comunicación al
público y como todo estándar, la medición debe ser reproducible.
La base de
datos nacional de vulnerabilidades (NVD) sigue usando la versión CVSS 2.0 a
pesar de que es compatible con la versión CVSS 3.0. La calificación de impacto
en CVSS 2.0 es como sigue:
- Bajo si la
calificación CVSS está entre 0 .0 y 3.9
- Medio si la
calificación CVSS está entre 4.0 y 6.9
- Alto si la
calificación CVSS está entre 7.0 y 10.0